Stát změnil pravidla hry pro cloudové služby

Zpřísňování regulace pro poskytování služeb cloud computingu začalo v již zmíněném roce 2021 a týká se orgánů veřejné správy. Hlavním mezníkem bylo přijetí novely zákona o informačních systémech veřejné správy a prováděcí vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu.

Proces zápisu do katalogu cloud computingu se rozdělil do dvou kroků. Registrovat nabídku služeb nyní může pouze ten poskytovatel, který získá potvrzení, že je způsobilý pro poskytování cloud computingu orgánu veřejné správy. Za osobu poskytovatele zákon považuje každou firmu tvořící dodavatelský řetězec od smluvního partnera orgánu veřejné správy, přes dodavatele technologie nebo softwaru až po koncového poskytovatele podpůrného cloudu.

Teprve jakmile žádost o registraci poskytovatele obdrží kladná závazná stanoviska všech dotčených orgánů a je úspěšně ukončeno správní řízení, může dojít k zápisu konkrétní služby. Hlavní „břemeno“ spojené se zápisem konkrétních služeb, tedy přípravu podkladů, nese jejich materiální dodavatel („výrobce“). Na něm je, aby prokázal, jak a kde dochází ke zpracování dat, jakým způsobem je či není schopen nebo ochoten zpřístupnit data, jakým způsobem řeší a eviduje kybernetické bezpečnostní události a incidenty. Následně se na zapsané nabídky služeb materiálních dodavatelů budou moci odkázat distributoři, respektive prodejci a přeprodejci, a dodavatelé podpůrného cloud computingu.

Přechod na cloudové služby se neobejde bez vnitřní transformace

Legislativní požadavky mají zásadní vliv na celý ekosystém dodavatelů hardwaru, softwaru a jejich implementačních partnerů. Řada dodavatelů, kteří dlouhodobě spolupracovali s veřejným sektorem na dodávkách a implementacích on-premise řešení, staví svůj obchodní model v posledních letech stále více na prodeji služeb spojených s cloudem. Pro přechod na cloudové služby už nestačí jen změny v interních procesech a kompetencích projektových týmů (zjednodušeně můžeme tyto změny popsat jako postupnou obměnu nebo přeškolení systémových administrátorů, tzv. bázistů, na cloudové architekty). Stát z pozice regulátora přiměl poskytovatele cloud computingu promítnout požadavky pro ověření základní úrovně ochrany také do smluvních a technických dokumentů.

Skutečnost, že do nového katalogu zatím přibývají nabídky služeb velmi pozvolna, svědčí o tom, že doložení podkladů je nyní obtížnější. Zvýšil se počet požadavků pro ověření základních úrovní ochrany, daných vyhláškou č. 316/2021. Pozornost regulátora se mnohem více zaměřuje na informace obsažené v certifikátech ISO a v auditních zprávách (především SOC 2® Type 2), důraz se klade na pojmy, jako jsou „zákaznická data“ nebo „kybernetické bezpečnostní události“, jejichž vymezení rozšiřuje okruh situací, kterými se musejí materiální dodavatelé ve svých technických dokumentacích podrobně zabývat. Dodavatelé si zároveň musejí nastavit procesy tak, aby průběžným obnovováním doložených dokumentů zaručili jejich aktuálnost.

Co očekávat od dopadů směrnice NIS2 a koho se plánované změny týkají

Nejpozději v říjnu 2024 by měl nabýt účinnosti nový zákon o kybernetické bezpečnosti, který je transpozicí evropské směrnice NIS2. Nejen v oblasti poskytování cloudových služeb přináší návrh zákona zásadní rozšíření okruhu a počtu povinných osob, na které se budou vztahovat přísná pravidla v oblasti kybernetické bezpečnosti. Rozšíří se počet odvětví, která spadají pod tzv. regulované služby (mimo jiné se bude jednat o energetiku, průmysl, dopravu, finanční trh nebo zdravotnictví). Tyto tzv. povinné osoby budou muset prověřovat kybernetická rizika spojená se svými dodavateli, včetně dodavatelů cloudových služeb.

Oblast veřejné správy patří mezi regulovanými službami do nejpřísnějšího režimu. Návrh zákona ji vymezuje jako jedno z odvětví poskytujících služby, které jsou klíčové pro plnění základních funkcí státu a u kterých by narušení bezpečnosti mohlo vést k ohrožení služeb pro občany nebo chodu státu. Spolu s veřejnou správou do těchto strategicky významných služeb spadají další tři odvětví: energetika, doprava, digitální infrastruktura a služby, a to včetně poskytování služby cloud computingu.

Ačkoli zákonodárce počítá s tím, že zákon o kybernetické bezpečnosti nahradí celou dosavadní soustavu stávajících právních předpisů upravujících kybernetickou bezpečnost (dosud platný kybernetický zákon a jeho prováděcí vyhlášky), předpisy upravující proces registrace do katalogu cloud computingu veřejné správy zůstávají v platnosti. Pro zbývající tři strategicky významné služby se předběžně počítá s využitím synergií s již existujícími agendami a procesy. Podle důvodové zprávy k návrhu zákona je jedním z těchto procesů právě prověřování žadatelů o zápis do katalogu poskytovatelů služeb cloud computingu.

Náročnost registrace do katalogu cloud computingu pro orgány veřejné správy tedy s největší pravděpodobností zůstane na stejné úrovni. Obdobný proces i rozsah požadavků můžeme očekávat i u nově regulovaných, strategicky významných odvětví. Povinnost zohledňovat tento typ požadavků při výběru svých dodavatelů a zahrnovat je do uzavíraných smluv budou muset mít všechny povinné osoby, na které regulace dopadne. Dnešní odhady hovoří o tom, že se bude jednat o více než šest tisíc společností poskytujících některou z přibližně 60 regulovaných služeb. Takový rozsah regulace se nějakým způsobem dotkne téměř každého významnějšího poskytovatele služeb cloud computingu.

Řada z nich si dosud plně neuvědomuje, jak administrativně náročný může být proces přípravy dokumentace sloužící k prověřování žadatelů o zápis do katalogu poskytovatelů služeb cloud computingu. Obzvláště v případě, pokud se jedná o právnické osoby se složitější vlastnickou strukturou nebo se zahraničním vlastníkem. Dosavadní zkušenosti ukazují, že proces registrace osoby poskytovatele cloudových služeb do katalogu od podání žádosti trvá půl roku. Také další krok se může v návaznosti na míru splnění legislativních požadavků a kapacity Digitální informační agentury a NÚKIB protáhnout na měsíce.

Příprava na nové změny

Již dnes je evidentní, že potřeba transformace spojená s poskytová­ním a využíváním cloudových služeb se netýká jenom zákazníků, ale i dodavatelů, kteří chtějí poskytovat svá řešení nové generace. Zjednodušeně se dá říci, že poskytovatelé, kteří touto vnitřní trans­for­ma­cí prošli nebo procházejí a zaměřují se na IT služby pro veřej­nou správu, by měli mít svůj záznam v katalogu cloud computingu.

S připravovanou změnou zákona budou muset mít tuto agendu zpracovanou i IT firmy specializující se na velké či střední podniky spadající pod nově regulovaná odvětví. Jejich seznam je k dispozici v návrhu zákona o kybernetické bezpečnosti a navazujících doku­men­tech. Protože je proces prověřování poskytovatelů cloudových služeb komplexnější než kdykoli dřív, nepodceňujte jeho náročnost a počítejte s dostatečnou časovou rezervou na všechny zákonné lhůty. O tom, kdo se stihne připravit včas a neohrozí svůj cloudový byznys v příštím roce, se rozhoduje už v těchto dnech a týdnech.

Miroslav Pavlas Autor článku je specialista na řešení pro veřejný sektor ve společnosti SAP.